Con la strong authentication, introdotta dalle nuove norme sui pagamenti elettronici, si è cercato di aumentare la sicurezza degli utenti online. In realtà, alcuni compromessi raggiunti lasciano perplessi riguardo la sua reale efficacia. In attesa dell’approvazione in Commissione europea, vediamo quali sono le principali novità.
Si chiama strong authentication ed è la novità principale introdotta dalla recente direttiva sui pagamenti elettronici. Si tratta sostanzialmente di un’autenticazione doppia, che avviene attraverso l’inserimento di due password: una statica e una dinamica, con codici usa e getta, tramite messaggi sul cellulare o tramite i generatori di codici (le cosiddette chiavette token). Alle nuove regole, definite dall’EBA (l’autorità bancaria europea), manca ancora il via libera della Commissione europea e, perciò, dovrebbero entrare in vigore entro 18 mesi dall’approvazione (quindi entro novembre 2018).
Quali novità per chi effettua pagamenti online
In seguito alle forti contrarietà espresse da alcuni grandi operatori online (Amazon e Visa, per esempio), si è arrivati a un compromesso che lascia, però, molti dubbi sull’effettiva sicurezza degli utenti e sulla riduzione del possibile numero di frodi, che era poi l’intento del legislatore europeo. Vediamo quali sono le principali novità:
- Lo strumento di pagamento viene bloccato se l’autenticazione per un pagamento fallisce per cinque volte di seguito. In tutti i casi, prima del blocco permanente il cliente sarà allertato;
- Se dopo l’autenticazione di un pagamento si rimane inattivi per più di cinque minuti, bisognerà autenticarsi nuovamente;
- L’autorizzazione al pagamento si ottiene per un determinato ammontare: nel momento in cui la somma aumenta (nel caso, per esempio, dell’aggiunta di commissioni) l’autorizzazione non sarà più valida;
- L’autenticazione forte (strong authentication) non sarà necessaria se si accede al sito solo per controllare il saldo del conto corrente o le operazioni eseguite negli ultimi 90 giorni;
- A differenza di quanto avviene oggi, per le operazioni contactless nei negozi fisici non verrà richiesto in PIN quando l’ammontare del pagamento non supera i 50 euro. C’è un ma: infatti verrà richiesto il PIN per qualsiasi pagamento se il totale dei pagamenti consecutivi senza PIN supera i 150 euro o se sono state già fatte cinque operazioni consecutive senza PIN;
- A prescindere dall’ammontare, non verrà richiesto alcun PIN quando le carte verranno utilizzate per pagare biglietti di trasporto o parcheggi su terminali incustoditi;
- Sarà possibile indicare alla banca o all’istituto di pagamento una lista di beneficiari di fiducia o di transazioni ricorrenti verso cui i pagamenti possono essere fatti senza strong authentication;
- Anche i bonifici a sé stessi nella stessa banca, i cosiddetti giroconti, non necessiteranno di un autenticazione forte;
- Esiste la possibilità di una deroga all’autenticazione forte per le operazioni di basso ammontare online, possibile se il pagamento non supera i 30 euro e, comunque, solo se in totale con deroga sono state fatte operazioni di pagamento che non superano i 100 euro o ne sono state fatte massimo cinque consecutive;
- Un’altra deroga si basa sull’analisi di rischio: se l’operazione viene considerata poco rischiosa, l’autenticazione forte non verrà richiesta. Come viene classificata un’operazione a basso rischio? Devono verificarsi queste condizioni: l’operazione non può superare i 500 euro, deve essere classificata entro il tasso di frode rilevato per la banca che fa il pagamento e si deve trattare di un’operazione dall’ammontare non anomalo, con accesso da computer o altro device identificato e con luogo di spedizione della merce non strano, già noto.
Come abbiamo anticipato, ci sembra che il concetto di strong authentication abbia davvero tante deroghe e rischia di non essere così efficace per ridurre il numero di frodi. Si poteva fare qualcosa in più, per questo presenteremo assieme al Beuc, l’organismo che comprende tutte le associazioni di consumatori europee, le nostre richieste in fase di approvazione delle regole in Commissione europea.
